Solana用户遭遇恶意NPM包盗取私钥事件分析

2025年7月初，一名Solana用户向安全团队求助，称其使用GitHub上的一个开源项目后，加密资产被盗。经调查发现，这是一起利用恶意NPM包窃取用户私钥的攻击事件。

事件经过

受害者使用了名为solana-pumpfun-bot的GitHub项目，该项目看似正常，拥有较高的Star和Fork数量。然而，项目代码的更新时间集中在三周前，缺乏持续更新的特征。

进一步分析发现，项目依赖了一个可疑的第三方包crypto-layout-utils。这个包已从NPM官方下架，且指定版本无历史记录。原来攻击者通过修改package-lock.json文件，将依赖包下载链接指向了自己控制的GitHub仓库。

恶意包分析

安全团队下载并分析了可疑的crypto-layout-utils-1.3.1包，发现其代码经过高度混淆。解混淆后确认这是一个恶意NPM包，它会扫描用户电脑上的敏感文件，如发现钱包或私钥相关内容就上传到攻击者的服务器。

攻击手法

攻击者可能控制了多个GitHub账号，用于分发恶意程序并提高项目热度。他们通过伪装成合法开源项目，诱导用户下载运行含恶意依赖的Node.js代码，从而窃取私钥。

此外还发现另一个恶意包bs58-encrypt-utils-1.0.3，推测攻击活动最早可能始于2025年6月中旬。

资金去向

通过链上分析工具追踪发现，被盗资金有部分被转移至某交易平台。

安全建议

1. 对来源不明的GitHub项目保持警惕，特别是涉及钱包操作的项目。

2. 必要时在隔离环境中运行和调试未知项目。

3. 开发者应仔细审查第三方依赖，警惕可疑的包或下载链接。

4. 定期检查并更新项目依赖，及时移除存在安全隐患的组件。

5. 使用可信的安全工具定期扫描项目代码，及早发现潜在威胁。

本次事件再次表明，攻击者正在不断创新手法，针对开源生态系统发起攻击。开发者和用户都需提高安全意识，共同维护健康的开源环境。